Como posso consultar todas as regras do selinux / contextos de arquivo padrão / etc afetando um tipo

Question

Como posso consultar todas as regras do selinux / contextos de arquivo padrão / etc afetando um tipo

#1 resposta do (7 votos)

6

Eu preciso saber tudo relacionado a um tipo SELinux as normas vigentes a do sistema em execução :

regras allow, allowaudit, dontaudit.
arquivos rotulados com um contexto usando o tipo.
transições.

... e qualquer outra informação.

Existe algum comando (s) eu posso usar para consultar essa informação ou devo baixar os todos SELinux relacionados pacotes "src", filtram os módulos não estiver em uso e grep cada arquivo para essa informação? Deve haver uma maneira mais fácil de fazer isso.

security selinux linux

por Yanko Hernández Álvarez 05.07.2013 / 14:42

1 resposta

Tags security selinux linux

Erroneous Tasklist.exe Configurando um proxy reverso para armazenar imagens em cache

score 7 · Accepted Answer

Alguns dos comandos para obter esta informação são (exemplos usam httpd_log_t ):

seinfo

# seinfo -x --type=httpd_log_t /etc/selinux/default/policy/policy.26
   httpd_log_t
      file_type
      non_security_file_type
      logfile

sesearch

# sesearch --dontaudit -t httpd_log_t /etc/selinux/default/policy/policy.26 | head
Found 35 semantic av rules:
    dontaudit run_init_t file_type : dir { getattr search open } ;
    dontaudit staff_t non_security_file_type : file getattr ;
    dontaudit staff_t non_security_file_type : dir { ioctl read getattr lock search open } ;
    dontaudit staff_t non_security_file_type : lnk_file getattr ;
    dontaudit staff_t non_security_file_type : sock_file getattr ;
    dontaudit staff_t non_security_file_type : fifo_file getattr ;
    dontaudit unconfined_t non_security_file_type : file getattr ;
    dontaudit unconfined_t non_security_file_type : dir { ioctl read getattr lock search open } ;
    dontaudit unconfined_t non_security_file_type : lnk_file getattr ;

semanage

# semanage fcontext -l | grep httpd_log_t
/etc/httpd/logs                                    all files          system_u:object_r:httpd_log_t:s0
/var/log/apache(2)?(/.*)?                          all files          system_u:object_r:httpd_log_t:s0
/var/log/apache-ssl(2)?(/.*)?                      all files          system_u:object_r:httpd_log_t:s0
/var/log/cacti(/.*)?                               all files          system_u:object_r:httpd_log_t:s0
/var/log/cgiwrap\.log.*                            regular file       system_u:object_r:httpd_log_t:s0
/var/log/horde2(/.*)?                              all files          system_u:object_r:httpd_log_t:s0
/var/log/httpd(/.*)?                               all files          system_u:object_r:httpd_log_t:s0
/var/log/lighttpd(/.*)?                            all files          system_u:object_r:httpd_log_t:s0
/var/log/piranha(/.*)?                             all files          system_u:object_r:httpd_log_t:s0
/var/www(/.*)?/logs(/.*)?                          all files          system_u:object_r:httpd_log_t:s0

Referências: Manual do RHEL6 SELinux